Der Schutz von Produktionsanlagen

Keine Experimente in der Prozessindustrie

In einer vernetzen Welt endet der Schutz von Produktionsanlagen nicht mehr am Werkstor. Über Netzwerkverbindungen ist Manipulation von überall her vorstellbar.

In einer vernetzten Welt endet der Schutz von Produktionsanlagen nicht mehr am Werkstor.

In einer vernetzten Welt endet der Schutz von Produktionsanlagen nicht mehr am Werkstor.

Unternehmen der Prozessindustrie betreiben im Bereich der Produktionsautomatisierung hoch ausgereifte Systeme, die einen nachhaltigen Betrieb mit langen Lebenszyklen ermöglichen. Gleichzeitig hat die Automatisierung einen so hohen Grad der Vernetzung erreicht, dass eine Produktion ohne sie nicht mehr vorstellbar ist. Eingebettete Systeme kommunizieren selbstständig miteinander, Anlagenführer steuern und überwachen aus der Ferne, Wartungspersonal greift weltweit zu und führt Konfigurationsänderungen aus. In solch einer vernetzen Welt endet der Schutz von Produktionsanlagen nicht mehr am Werkstor.

Über Netzwerkverbindungen ist Manipulation von überall her vorstellbar. Produktionsausfälle sind – insbesondere bei kontinuierlichen Anlagen, deren Anfahrprozesse mehrere Tage dauern können – mit hohen Kosten verbunden. Sind auch Safety-Systeme betroffen, können Gefahren für Mensch und Umwelt nicht mehr ausgeschlossen werden. Sofern der jeweilige Betrieb der Störfallverordnung unterliegt, kann bei Unterlassung von Security-Vorkehrungen für Sicherheitseinrichtungen ein Straftatbestand vorliegen.

Risikoanalyse als erster Schritt


Risikoanalysen bilden den ersten Schritt in Richtung Gegenmaßnahmen. Für eine Risikoanalyse muss Erfahrung mit Automatisierungstechnik, IT, Cybersecurity und mit dem verfahrenstechnischen Prozess an einen Tisch. Das kann durchaus schwierig werden. Dieser Problematik ist die Namur (Interessensgemeinschaft Automatisierungstechnik in der Prozessindustrie) entgegengetreten und hat das Arbeitsblatt 163 „IT-Risikobeurteilung von Prozessleittechnik-Sicherheitseinrichtungen“ geschaffen. Damit soll eine effektive und ressourcenschonende IT-Risikobeurteilung ermöglicht werden. Ein Safety-Ingenieur wird damit in die Lage versetzt, innerhalb eines Tages und ohne spezielle Cybersecurity-Kenntnisse eine IT-Risikobeurteilung durchzuführen.

Im Wesentlichen wird eine Checkliste durchgearbeitet, die letztendlich folgende Fragen beantwortet: Wie sicher ist meine Prozessleittechnik-Schutzeinrichtung? Wie sicher muss sie mindestens sein? Eine IT-Risikobeurteilung mag zwar ohne tiefe Cybersecurity-Expertise machbar sein. Die Herstellung eines sicheren Zustands aber nicht.

Kompetenz als Schlüsselfaktor


Natürlich braucht es die Expertise von Cybersecurity-Spezialisten. Doch alleine können diese nicht für den sicheren Anlagenzustand sorgen. Ein Betriebsleiter, der gesetzlich für die Sicherheit einer Prozessanlage verantwortlich ist, muss nicht zwingend Algorithmen beherrschen und Netzwerke analysieren. Diese Aufgabe wird er an seine Ingenieure delegieren. Die Kompetenz, die vom Betriebsleiter gefordert wird ist vielmehr, dass dieser die Prozesse (Produktions- und Geschäftsprozesse), Daten und Systeme kennt und daraus die erforderlichen Security-Anforderungen ableiten kann.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Bereits Daten aus dem Planungsstadium wie z.B. Prozessrisikoanalysen können einen Schlüssel für Angreifer darstellen. Entsprechend sind Planungsingenieure und insbesondere Partnerfirmen gefordert, eine Klassifizierung der entsprechenden Dokumente durchzuführen. Einfallstore wie das Öffnen von Anhängen an E-Mails oder schlecht vergebene Passwörter können letztlich durch jeden geöffnet werden. Entsprechend ist auch jeder für die Sicherheit verantwortlich.

Erfolgsfaktoren für die Digitalisierung


Die digitale Transformation wird stattfinden – mit oder ohne Security! Eine erfolgreiche Digitalisierung wird laut Anapur nur mit Cybersecurity zu erzielen sein. Insbesondere die Prozessindustrie kann sich angesichts der Risiken für Gesundheit und Umwelt keine Experimente erlauben. Als Bausteine für eine risikoarme Digitalisierung der Prozessindustrie gelten sichere Komponenten, bei denen die IT-Security einen integralen Bestandteil im Funktionsumfang automationstechnischer Komponenten und Lösungen darstellt („Security by Design“) und die Kompetenz der Mitarbeiter, die mit der steigenden Komplexität der digitalisierten Industrie mithält.

Bildquelle: Anapur

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok